专栏首页安智客Key attestation的几个关键点!

Key attestation的几个关键点!

Key attestation就是密钥认证,之前介绍过:

Key attestation-Google的密钥认证

下图是Google Android密钥认证的架构图。基本上TEE OS、Keystore、Keymaster等等都有相关涉及。

我们今天来总结一下密钥认证的几个关键点:

Attestation details

认证可以应用于RSA或EC密钥。

证书是以X.509证书的形式出示的。

认证密钥(ECDSA和RSA)将设置在工厂。

谷歌将提供CA根,并将认证密钥。

Key Provisioning

谷歌将为谷歌批准的设备认证认证密钥。

密钥将被部署到设备上,每10K设备用一个密钥。

谷歌将创建密钥并对它们进行验证。

这个过程是与Widevine密钥分配过程非常类似(将可能使用相同的交付方法)。

密钥撤回:密钥撤销将通过CRL和OSCP被取消

● 安全密钥注入只能在工厂完成,所以设备被吊销的密钥将永久不受信任。

● 密钥被注入到设备批次中,因此撤销至少影响整个批处理。

● 撤销将应用广泛的需要,根据泄漏的性质和范围。

其他的keystore安全措施:

● More elliptic curve functionality:ECIES ECDH

● Exportable symmetric keys

● Fingerprint-bound keys that are not revoked on fingerprint enrollment

● OS version binding to protect against OS rollback

Bootloader修改:

新的硬件密钥库功能需要一些BootLoader功能:

● Bootloader must provide OS version and patch level to TEE.

● Bootloader must provide Verified Boot public key and lock status to TEE.

CDD测试要求:

Hardware-backed keystore will be MANDATORY in a future release.

● All algorithms (RSA, AES, ECDSA, ECDH, ECIES, HMAC)

● All hash functions (MD5, SHA1, SHA-2 family)

● Hardware Gatekeeper (on devices with lockscreens)

● With brute force protection in hardware

● Hardware attestation support

FIDO and Android KeyStore Attestation

KeyStore attestation is similar to—but not an implementation of—FIDO U2F.

● U2F uses other data structures and protocols that are too specific for a

general-purpose crypto toolkit.

● KeyStore attestation does provide all of the security properties desired by

FIDO relying parties.

● Google will work with FIDO to reconcile the issues.

● Bottom line: FIDO relying parties will be able to use KeyStore. This is

expected to drive widespread use of KeyStore.

本文分享自微信公众号 - 安智客(china_safer)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-03-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Key attestation-Google的密钥认证

    Android的密钥库已经有很多年了,它为应用程序开发者提供了一种使用加密密钥进行验证和加密的方法。 Keystore将密钥保留在应用程序的进程空间之外,以便应...

    安智客
  • 从诺基亚 X6 聊人脸解锁:安全基础是TEE

    前不久,诺基亚发布了其全新X系列智能手机诺基亚X6,官网上也打出了:AI面部识别,基于TEE移动安全解决方案指纹解锁之外,更享安全便捷的宣传。由于其采用的是高通...

    安智客
  • GP TEE中的几种存储方式介绍

    我们知道TEEOS最重要的功能莫过于安全存储了,这是一切安全的前提,根据存储安全性和使用场景GP TEE安全存储分为RPMB安全存储、SFS安全存储和SQLFS...

    安智客
  • GitHub账户被黑:旧漏洞导致弱密钥大量留存

    又见历史原因导致的安全隐患 在七年前开发人员发现GitHub存在一个灾难性的漏洞之后,GitHub已经关闭了数量不明的通过密钥访问的账户。 Github允许授...

    FB客服
  • android 签名

    (1)Android Studio菜单Build->Generate Signed APK  ? (2)弹出窗口  ? (3)创建密钥库及密钥,创...

    xiangzhihong
  • 密钥详解

    在之前的文章中,我们讲到了对称密码,公钥密码,消息认证码和数字签名等密码学的技术,这些技术中都使用到了一个叫做密钥的东西。

    程序那些事
  • 金融行业常见的几种密钥体系

    金融行业对于数据安全的要求比较高,因此金融行业常用密钥体系是有比较强的安全性和参考性,可以作为云厂商或者其他业务的参考,简单整理了下金融行业集中常见的密钥体系。

    顽石915
  • 腾讯云 API 最佳实践:保护你的密钥

    使用腾讯云 API 时,你需要用密钥来签名你的 API 请求。腾讯云接收到你的请求后,会比对你的签名串和实际请求参数。

    zqfan
  • keytool使用说明

    密钥和证书管理工具 命令: -certreq 生成证书请求 -changealias 更改条目的别名 -delete 删除条目 -exportcert 导...

    苦咖啡
  • Dan Boneh密码学笔记9

    TTP发送给Alice用Alice密钥加密的信息,包括”这个共享密钥是AB之间的“和Kab。

    安包

扫码关注云+社区

领取腾讯云代金券